サブドメイン棚卸しのやり方：発見方法、監視、複数ドメイン運用まで

なぜサブドメインは漏れるのか

サブドメインが漏れる理由は単純で、作る人と管理する人が分かれているからです。Web制作会社、マーケ部門、採用チーム、海外拠点、M&A 後の子会社など、それぞれが公開面を増やします。ところが中央の台帳は申請ベースで更新されることが多く、現場が先に動くと差分が埋まりません。

さらに、使わなくなったサブドメインは誰にも困られていないように見えるため、廃止フローから漏れやすいです。その結果、実際の公開面は台帳より広く、しかも古い残骸を含む状態になります。サブドメイン棚卸しは、新規発見だけでなく残骸発見 を目的に置く必要があります。

発見に使う4つの観点

サブドメイン棚卸しは 1 つのデータソースだけでは漏れます。まずは次の 4 観点を並べて、台帳にない名前を拾う母集団を作るのが実務的です。

まず基礎になるのは DNS ですが、それだけでは古い証明書に残る名前や、すでに DNS から消えたが外部痕跡が残る名前は見つけにくいです。CT は証明書発行を外部露出の手掛かりとして使えますし、HTTP / TLS からは単なる名前一覧ではなく 何が公開されているか まで見えてきます。

30分で始めるサブドメイン棚卸し手順

30分で始めるなら、1. 主要ドメイン一覧を出す、2. DNS と CT の観点で候補を集める、3. HTTP / TLS で実在確認する、4.「active / unknown / archived候補」に分ける、の順が最も現実的です。最初から完璧な網羅を狙うより、候補と優先度を作る方が早く進みます。

具体例として、採用 microsite、旧LP、M&Aで引き継いだ旧ブランド、委託先が運用するキャンペーンページは最初の30分で候補に上がりやすい典型です。見つけた直後に 外部公開資産台帳 へ落とすと、その後の管理責任者確認が楽になります。

棚卸し結果を台帳に落とす

見つけたサブドメインは、そのまま一覧で終わらせず、台帳へ落とします。最低でも、hostname、record type、first seen、last seen、管理責任者、environment、evidence、状態 を持たせると、後で再確認しやすくなります。first seen / last seen があると、古い残骸と最近追加された資産を分けて見やすくなります。

台帳に管理責任者を入れるのは特に重要です。担当が決まらないまま「怪しいサブドメイン」を増やしても、修正は進みません。用途不明資産は状態を「unknown」にし、一定期間管理責任者が付かないものを優先レビューへ上げるなど、運用ルールとセットで設計すると止まりにくくなります。

発見したサブドメインで確認したい項目

発見した直後は、網羅よりも「危険なものを混ぜたまま放置しない」ことが重要です。次の 5 点だけでも確認すると、管理責任者確認と優先度付けがかなり進みます。

もし CNAME の参照先が消えていそうなら ダングリングDNS、DNS 側の整理が怪しければ DNS 棚卸し を並行して確認すると、実害評価が速くなります。

複数ドメイン /委託先/ M&A で漏れやすいケース

漏れやすいのは、親会社ドメインよりも、委託先が作った microsite、M&A 後に引き継いだ旧ブランド、採用やキャンペーンで一時的に使ったサブドメインです。これらは中央の DNS 管理から外れやすく、管理責任者も分散しやすいため、通常の棚卸し対象から漏れがちです。

実務では、「本社管理」、「部門管理」、「委託先管理」、「買収後の暫定管理」の4分類で見直しすると、どこに戻すべき資産かが見えやすくなります。分類後は 台帳テンプレート に管理責任者と evidence を残し、monthly見直しで「unknown」を潰してください。

継続監視の回し方

サブドメイン棚卸しは単発だと意味が薄くなります。新しいキャンペーン、CDN 切替、M&A 後の移管、委託先変更などで公開面は変わり続けるからです。日次や週次の継続監視で新規資産と再発資産を拾い、月次レビューで未管理資産と放置資産を詰める形にすると、実務へ乗せやすくなります。

複数ドメインを持つ企業では、親ドメイン単位だけでなく、ブランド・部門・委託先単位でもレビューすると効果的です。M&A で増えたドメインや、委託先が運用する microsite は、中央台帳から漏れやすいためです。棚卸しはインフラ作業ではなく、組織の公開面を統治する活動 と捉えてください。

よくある質問（FAQ）

サブドメイン棚卸しはどの頻度でやるべきですか

新規公開が多い組織なら週次、安定運用でも月次レビューは欲しいです。単発棚卸しだけではすぐに古くなります。

委託先や M&A のドメインも対象に含めるべきですか

自社ブランドや業務影響があるなら含めるべきです。中央台帳から漏れやすく、事故時の影響説明も難しくなるためです。

サブドメイン棚卸しと DNS 棚卸しは何が違いますか

DNS 棚卸しはレコードと委任の整理、サブドメイン棚卸しは外から見える名前と用途の整理です。実務では往復しながら進める方が自然です。

CT ログだけでサブドメイン棚卸しをしても十分ですか

十分ではありません。CT は証明書に残った名前を拾うのに強い一方で、証明書が発行されていない資産や、すでに露出が止まった痕跡は取りこぼします。DNS、HTTP / TLS、管理責任者情報と合わせて見ることで、実務で使える棚卸しになります。

棚卸し結果はどの項目まで台帳に残すべきですか

少なくとも hostname、record type、first seen、last seen、管理責任者、environment、evidence、状態 は残したいです。一覧を作るだけで終わらせず、誰が引き取るかと、次に見直す根拠まで残しておくと継続監視へつなげやすくなります。

まとめ

サブドメイン棚卸しは、名前を数える作業ではなく、外から見える公開面を組織として把握し直すための活動です。DNS、CT、HTTP / TLS を組み合わせて候補を集め、管理責任者と evidence を持つ台帳へ落とすことで、単発調査ではなく継続運用へ変えられます。

まずは主要ドメインから始め、「unknown」や残骸候補を月次レビューで潰してください。サブドメイン棚卸しを定例化できれば、ダングリングDNSや放置資産のような事故はかなり防ぎやすくなります。

ASM診断 PRO での運用イメージ

ASM診断 PRO では、Public 診断で外部観点に公開面を棚卸しし、会員登録後に履歴管理と継続監視へ進めます。Verified を組み合わせると、所有確認済みドメインを中心に、継続的な変化追跡を行いやすくなります。つまり、サブドメイン棚卸しを一度きりの棚卸しではなく、運用活動として回す入口になります。

まずは重要ドメインから始め、台帳と findings の優先度付けが回ることを確認してからドメイン数を広げるのが合理的です。広げる順序を間違えなければ、サブドメイン棚卸しは「大変な一斉調査」ではなく、「定期的に差分を見る通常業務」へ変わります。